一种密码设备的远程管理方法及系统技术方案

本发明专利技术涉及一种密码设备的远程管理方法及系统，其方法包括以下步骤：步骤1：对密码设备、PED输入设备和秘钥设备进行初始化；步骤2：管理终端与PED输入设备和密码设备分别建立连接；步骤3：PED输入设备验证所述密码设备的身份，如通过验证，执行步骤4；否则，结束；步骤4：PED输入设备与密码设备之间建立安全连接，PED输入设备根据完成初始化的秘钥设备获得授权；步骤5：PED输入设备根据授权对秘钥设备进行管理操作。本发明专利技术可以实现对密码设备及密钥的远程管理，使密码设备的管理不再局限于数据中心内，在不降低安全性的前提下，增加了密码设备管理的灵活性，帮助用户降低运维成本。

【技术实现步骤摘要】

本专利技术涉及一种密码设备的远程管理方法及系统，属于信息安全领域。
技术介绍
传统密码设备管理是基于本地管理模式的，管理终端设备与密码设备通过串口线缆或网线物理连接，通过串口终端或专用软件对密码设备进行配置和密钥管理以及状态查询，认证设备与密码设备物理连接。随着当前应用规模的扩大以及分布式或集约化等部署方式的改变，传统管理方式与数据中心管理策略相背，管理成本逐渐增高。如图1所示，当前应用模式下，安全管理员需要进入部署密码设备数据中心内，通过物理连接方式对密码设备进行管理操作，密码设备具备智能IC卡读卡器和USB接口，以及RS232串口或专用管理网口，在进行设备或密钥管理时首先要使用管理终端通过串口或网络线缆连接到密码设备，并在管理终端上打开控制台程序或GUI管理程序，需要身份认证或导入导出密钥管理操作时，需要将智能IC卡插入智能卡读卡器中，或将USB Key插入USB接口中。
技术实现思路
本专利技术所要解决的技术问题是提供一种解决密码设备远程管理的安全性问题，可方便、灵活、安全的对位于数据中心的密码设备进行远程管理的密码设备的远程管理方法及系统。本专利技术解决上述技术问题的技术方案如下:一种密码设备的远程管理方法，具体包括以下步骤:步骤1:对密码设备、PED输入设备和秘钥设备进行初始化；步骤2:管理终端与PED输入设备和密码设备分别建立连接；步骤3:PED输入设备验证所述密码设备的身份，如通过验证，执行步骤4 ;否则，结束；步骤4:PED输入设备与密码设备之间建立安全连接，PED输入设备根据完成初始化的秘钥设备获得授权；步骤5:PED输入设备根据授权对秘钥设备进行管理操作。本专利技术的有益效果是:可以实现对密码设备及密钥的远程管理，使密码设备的管理不再局限于数据中心内，在不降低安全性的前提下，增加了密码设备管理的灵活性，帮助用户降低运维成本。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，所述步骤I具体包括以下步骤:步骤1.1:根据密码设备的唯一序列号和密码设备产生的公钥签发数字证书，并将数字证书安装到密码设备中；步骤1.2:根据PED输入设备的唯一序列号和PED输入设备产生的公钥签发PED数字证书，并将Pm)数字证书安装到PED输入设备中；步骤1.3:将秘钥设备插入密码设备，秘钥设备获得密码设备中的数字证书。进一步，所述秘钥设备包括智能IC卡和/或USB Key。进一步，所述步骤2中管理终端通过USB接口与PED输入设备建立连接；所述管理终端通过互联网或其他广域网与密码设备建立连接。进一步，所述步骤3中PED输入设备通过PED数字证书验证所述密码设备的数字证书实现对密码设备的身份验证；所述步骤4中PED输入设备根据秘钥设备中的数字证书获得授权。本专利技术解决上述技术问题的技术方案如下:一种密码设备的远程管理系统，包括管理终端、密码设备、Pm)输入设备和秘钥设备；所述管理终端与PED输入设备和密码设备分别建立连接；所述PED输入设备验证所述密码设备的身份；通过验证后，所述PED输入设备与所述密码设备之间建立安全连接；所述秘钥设备通过密码设备获得授权；所述PED输入设备根据授权对秘钥设备进行管理操作。本专利技术的有益效果是:可以实现对密码设备及密钥的远程管理，使密码设备的管理不再局限于数据中心内，在不降低安全性的前提下，增加了密码设备管理的灵活性，帮助用户降低运维成本。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，所述密码设备的唯一序列号和密码设备产生的公钥签发数字证书，并将数字证书安装到密码设备中；所述PED输入设备的唯一序列号和PED输入设备产生的公钥签发PED数字证书，并将PH)数字证书安装到PED输入设备中；所述秘钥设备插入所述密码设备，所述秘钥设备获得密码设备中的数字证书。进一步，所述秘钥设备包括智能IC卡和/或USB Key。 进一步，所述管理终端通过USB接口与PED输入设备建立连接；所述管理终端通过互联网或其他广域网与密码设备建立连接。进一步，所述PED输入设备通过PED数字证书验证所述密码设备的数字证书实现对密码设备的身份验证；所述Pm)输入设备根据秘钥设备中的数字证书获得授权。本专利技术的主要关键安全技术有:密码设备的用户认证与授权是基于硬件模块(USB读卡器、智能IC卡、USB Key);管理终端到密码设备采用基于PKI密码技术的双向身份认证建立安全会话，保证数据的完整性、机密性、可靠性；通过PED设备输入密钥组件，保证密钥及密钥组件传输的安全性。密码设备:实现密码运算功能的包含软件、硬件、固件的电子设备。数字证书:也称公钥证书，由CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。密钥:控制密码算法运算的关键信息或参数。机密性:又称保密性，保证信息不被泄露给非授权的个人、进程等实体的性质。密钥组件:安全功能中用于进行密码功能运算的参数。数字签名:签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。密文密钥:使用密钥加密密钥和认可的安全函数加密后的密钥。完整性:数据没有遭受以非授权方式所作的篡改或破坏的性质密钥管理:根据安全策略，对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。PIN:用于鉴别身份或验证访问授权的字符串，如字母、数字和其他符号。【附图说明】图1为现有技术中传统密码设备管理结构示意图；图2为本专利技术所述的一种密码设备的远程管理方法流程图；图3为本专利技术所述的一种密码设备的远程管理系统结构示意图。附图中，各标号所代表的部件列表如下: 1、管理终端，2、密码设备，3、PED输入设备，4、秘钥设备，21、读卡器，22、USB接口，41、智能 IC 卡，42、USB Key0【具体实施方式】以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。如图2所示，为本专利技术所述的一种密码设备的远程管理方法，具体包括以下步骤:步骤1:对密码设备、PED输入设备和秘钥设备进行初始化；步骤2:管理终端与PED输入设备和密码设备分别建立连接；步骤3:PED输入设备验证所述密码设备的身份，如通过验证，执行步骤4 ;否则，结束；步骤4:PED输入设备与密码设备之间建立安全连接，PED输入设备根据完成初始化的秘钥设备获得授权；步骤5:PED输入设备根据授权对秘钥设备进行管理操作。所述步骤I具体包括以下步骤:步骤1.1:根据密码设备的唯一序列号和密码设备产生的公钥签发数字证书，并将数字证书安装到密码设备中；步骤1.2:根据PED输入设备的唯一序列号和PED输入设备产生的公钥签发PED数字证书，并将PH)数字证书安装到PED输入设备中；步骤1.3:将秘当前第1页1 2 本文档来自技高网...

【技术保护点】
一种密码设备的远程管理方法，其特征在于，具体包括以下步骤：步骤1：对密码设备、PED输入设备和秘钥设备进行初始化；步骤2：管理终端与PED输入设备和密码设备分别建立连接；步骤3：PED输入设备验证所述密码设备的身份，如通过验证，执行步骤4；否则，结束；步骤4：PED输入设备与密码设备之间建立安全连接，PED输入设备根据完成初始化的秘钥设备获得授权；步骤5：PED输入设备根据授权对秘钥设备进行管理操作。

【技术特征摘要】

【专利技术属性】
技术研发人员：高志权，许永欣，鹿淑煜，
申请(专利权)人：北京三未信安科技发展有限公司，
类型：发明
国别省市：北京;11